Les procureurs fédéraux américains ont accusé deux frères soudanais d’avoir exploité un botnet par déni de service distribué (DDoS) à des fins de location, qui a mené un nombre record de 35 000 attaques DDoS en une seule année, y compris celles qui ont ciblé les services de Microsoft en juin 2023.
Les attaques, qui ont été facilitées par le « puissant outil DDoS » d’Anonymous Soudan, ont ciblé des infrastructures critiques, des réseaux d’entreprise et des agences gouvernementales aux États-Unis et dans le monde, a déclaré le ministère américain de la Justice (DoJ).
Ahmed Salah Yousif Omer, 22 ans, et Alaa Salah Yusuuf Omer, 27 ans, ont été inculpés d’un chef d’accusation de complot visant à endommager des ordinateurs protégés. Ahmed Salah a également été inculpé de trois chefs d’accusation pour avoir endommagé des ordinateurs protégés.
S’il est reconnu coupable de tous les chefs d’accusation, Ahmed Salah encourt une peine maximale légale de prison fédérale à perpétuité, tandis qu’Alaa Salah encourt une peine maximale de cinq ans de prison fédérale. L’outil DDoS aurait été désactivé en mars 2024, le même mois où la paire a été créée. arrêté d’un pays inconnu.
« Anonyme Soudan a cherché à maximiser le chaos et la destruction contre les gouvernements et les entreprises du monde entier en perpétrant des dizaines de milliers de cyberattaques », dit L’avocat américain Martin Estrada.
« Les attaques de ce groupe étaient cruelles et effrontées : les accusés sont allés jusqu’à attaquer des hôpitaux fournissant des soins d’urgence aux patients. »
Anonymous Soudan, suivi par Microsoft sous le nom de Storm-1359, a émergé début 2023, orchestrant une série d’organisations suédoises, néerlandaises, australiennes et allemandes. Même s’il prétendait être un groupe hacktiviste, les actes d’accusation montrent qu’il ne s’agissait que d’une façade pour ce qu’ils étaient en réalité, une équipe de mercenaires numériques.
« Après avoir initialement rejoint une brève campagne hacktiviste pro-russe, Anonymous Soudan a mené une série d’attaques DDoS avec des motivations religieuses et nationalistes soudanaises apparentes, y compris des campagnes contre des entités australiennes et d’Europe du Nord », a déclaré Crowdstrike. dit.
« Le groupe a également été un participant éminent à la campagne hacktiviste annuelle #OpIsrael. Tout au long de ces campagnes, Anonymous Soudan a également démontré sa volonté de collaborer avec d’autres groupes hacktivistes comme KillNet, SiegedSec et Türk Hack Team. »
Des documents judiciaires allèguent que les acteurs d’Anonymous Soudan et leurs clients ont utilisé l’outil d’attaque distribué dans le cloud (DCAT) du groupe pour mener des milliers d’attaques DDoS destructrices et en revendiquer publiquement le mérite, causant plus de 10 millions de dollars de dommages aux seules victimes américaines.
Selon Amazon Web Services (AWS), les services DDoS étaient proposés aux clients potentiels pour 100 $ par jour, 600 $ par semaine et 1 700 $ par mois. Le service aurait autorisé jusqu’à 100 attaques chaque jour.
L’outil DCAT, commercialisé dans le milieu criminel sous les noms de Godzilla, Skynet et InfraShutdown, a été démantelé dans le cadre d’une saisie autorisée par le tribunal de ses composants clés, y compris les serveurs qui ont été utilisés pour lancer les attaques DDoS, les serveurs qui relayaient les commandes d’attaque vers un réseau plus large d’ordinateurs d’attaque et des comptes contenant le code source des outils DDoS utilisés par le groupe.
« Ces mesures d’application de la loi ont été prises dans le cadre de l’opération PowerOFF, un effort continu et coordonné entre les agences internationales d’application de la loi visant à démanteler les infrastructures criminelles DDoS contre rémunération dans le monde entier et à tenir pour responsables les administrateurs et les utilisateurs de ces services illégaux », a déclaré le DoJ. dit.
Cette évolution intervient alors que le bureau des douanes finlandais (alias Tulli) a perturbé le marché du darknet Sipulitie – un successeur du Sipulimarket qui a été fermé par les forces de l’ordre en 2020 – spécialisé dans la vente de drogues et opérationnel sur le dark web depuis 2023.
« Le site Internet en finnois et en anglais a été utilisé à des fins criminelles, notamment pour vendre de la drogue sous couvert d’anonymat », a déclaré Tulli. dit. « L’administrateur du site a déclaré sur des forums publics que le chiffre d’affaires de Sipulitie s’élevait à 1,3 million d’euros. »
Ailleurs, le Département de la police fédérale (DPF) du Brésil dit elle a arrêté un pirate informatique en lien avec une série de cyberattaques qui ont violé ses propres systèmes et ceux appartenant à d’autres institutions internationales.
Baptisée Operation Data Breach, cette initiative a donné lieu à l’exécution d’un mandat de perquisition et de saisie et d’un mandat d’arrêt préventif contre l’accusé dans la ville de Belo Horizonte suite à des allégations de fuite de données sensibles associées à 80 000 membres de InfraGardun exercice de collaboration entre le gouvernement américain et les secteurs des infrastructures critiques.
L’individu anonyme, qui portait les noms USDoD et EquationCorpa également été accusé d’avoir vendu des données de la police fédérale à deux reprises, le 22 mai 2020 et le 22 février 2022, ainsi que d’avoir divulgué des données d’Airbus et de l’Agence américaine de protection de l’environnement (EPA).